picasso

Tak, jest w systemie zainstalowane adware, które na dodatek przekonwertowało typ przeglądarki Google Chrome z wersji bezpiecznej "stabilnej" do otwartej na modyfikacje adware "development" i będzie wymagana reinstalacja całej przeglądarki. Dodatkowo, używany skaner SpyHunter - to skaner wątpliwej reputacji z czarnej listy, reklamiarz naciskający na instalacje, po czym się okazuje, że opłaty należy uiszczać. On niby został odinstalowany, a ja go nadal widzę na liście zainstalowanych.... Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware App Lid, Minecraft Packages, nieszczęsne Google Chrome oraz SpyHunter. Przy deinstalacji przeglądarki zaznacz Usuń także dane przeglądarki, a resztę doczyści mój skrypt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3448794057-2279744148-3698898670-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-3448794057-2279744148-3698898670-1000\Software\Classes\exefile: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3448794057-2279744148-3698898670-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1415133035&from=cor&uid=HitachiXHTS547550A9E384_J2100050DPN3VBDPN3VBX&q={searchTerms HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1415133035&from=cor&uid=HitachiXHTS547550A9E384_J2100050DPN3VBDPN3VBX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3448794057-2279744148-3698898670-1000 -> {724893F4-3AC6-4B99-8599-45F2BDBB2D42} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=20202F2B-4269-4607-8DD3-D93BA14CE88B&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=Launcher.exe_0_25.0.1614.68&doi=2014-11-05&trgb=IE&q={searchTerms}&psv=&pt=tb BHO: couponpeak -> {04c4d6ff-f8fd-42b5-b48f-35fc4b933822} -> C:\ProgramData\couponpeak\zkLHllg5dyPZdJ.x64.dll No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-3448794057-2279744148-3698898670-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-3448794057-2279744148-3698898670-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-3448794057-2279744148-3698898670-1000 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} - No File Task: {67734A5B-CB63-4097-A58F-54178EED332E} - System32\Tasks\{634D9B69-1634-4909-87C5-2D5E59B31A0A} => Iexplore.exe http://ui.skype.com/ui/0/5.10.0.115/pl/go/help.faq.installer?source=lightinstaller&LastError=1618 C:\Program Files\Google C:\Program Files (x86)\App Lid C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\ProgramData\ee67026fc86de1d C:\ProgramData\APN C:\ProgramData\boost_interprocess C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat C:\ProgramData\Norton C:\ProgramData\Partner C:\ProgramData\Symantec C:\Users\Gizela\AppData\Local\Google C:\Users\Gizela\AppData\Local\Opera Software C:\Users\Gizela\AppData\Roaming\0I0M0D1F2W1G1I1F1T1Q1P1C C:\Users\Gizela\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain C:\Users\Gizela\AppData\Roaming\Mozilla C:\Users\Gizela\AppData\Roaming\Opera Software C:\Users\Gizela\AppData\Roaming\PriceFountain C:\Users\Gizela\AppData\Roaming\Systweak C:\Users\Gizela\Downloads\*(*)-dp*.exe C:\Users\Gizela\Downloads\*.opdownload C:\Users\Gizela\Downloads\chromeinstall*.exe C:\Users\Gizela\Downloads\farming_simulator_*.exe C:\Users\Gizela\Downloads\minecraft*.exe C:\Users\Gizela\Downloads\Niepotwierdzony*.crdownload C:\Users\Gizela\Downloads\pobierz_*.exe C:\Users\Gizela\Downloads\SpyHunter 4.17.6.4336 + SCREEN.rar C:\Users\Gizela\Downloads\SpyHunter 4.17.6.4336 + SCREEN C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\system32\Drivers\kgpcpy.cfg C:\Windows\SysWOW64\Drivers\kgpfr2.cfg Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {00C9AC02-9004-431F-A2EB-9E912595B2CA} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {00C9AC02-9004-431F-A2EB-9E912595B2CA} /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Gizela\AppData\Local CMD: dir /a C:\Users\Gizela\AppData\LocalLow CMD: dir /a C:\Users\Gizela\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Temat porządkuję. Zestaw dostarczonych raportów jest niekompletny, brak plików FRST Addition i Shortcut oraz OTL Extras. Wracaj ponownie do instrukcji tworzenia raportów FRST i dostarcz komplet. Dodatkowo, poproszę też o log z Farbar Service Scanner.

Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić post, stosuj opcję Edytuj, a nie post pod postem. Posty skleiłam. Brak danych o systemie. Proszę dostarczyć raporty z FRST. Aczkolwiek Ty już sugerujesz, że jest problem z dyskiem twardym: F1 - czyli widzisz komunikat rodzaju "...Hard Disk S.M.A.R.T Command Failed. Press F1 to Resume."? W takim przypadku temat przesunę do działu Hardware, a dane wymagane działem są inne: KLIK. .

Jeśli chodzi o instalację Adobe Flash w IE, to skorzystaj z innego instalatora typu "offline". Pobierz go za pomocą Firefox, bo przeglądarka w tym przypadku nie odgrywa roli: KLIK (Internet Explorer > Download EXE Installer). Pobrany plik uruchom, a po instalacji sprawdź czy Centrum HP nadal ma zastrzeżenia do braku / dysfunkcji Adobe Flash w IE.

Odpowiedź na to pytanie przecież już cytowałam z FAQ programu, dla większej ilości komputerów jest inny program tej samej firmy:

Fix się zapętlił, bo zrobiłam literówkę w zamknięciach ' vs. ". Powtórz tę część, która się nie udała, przy okazji wydrukuję sobie zawartość raportu ComboFix.txt z którym masz problemy (nie musisz go umieszczasz na serwisie hostingowym): 1. Otwórz Notatnik i wklej w nim: CMD: type C:\Users\Serge_2\Downloads\ComboFix.txt Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PCMService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spybot-S&D Cleaning" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WarReg_PopUp" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Hosts: EmptyTemp: Plik zapisz pod nazwą fixlist.txt w katalogu Pobrane tam gdzie jest FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W katalogu Pobrane powstanie plik fixlog.txt. Przedstaw go. 2. Poprzednie logi FRST to nie to o co mi chodzi i je usuwam. Skan miał być zrobiony skan na ustawieniu: Pola Services, Drivers MD5, List BCD, Addition mają być ODZNACZONE. Wynikowo ma powstać jeden plik FRST.txt. .

Tak jest, kontynuuj rundy z wszystkimi "Ważnymi" i "Zalecanymi". Natomiast "Opcjonalne" sobie darujmy. I sądzę, że nie trzeba będzie nic już weryfikować w sposób szczególny, o ile nie wystąpi jakiś błąd. Po aktualizacjach upewnij się, że w Panel sterowania > System i konserwacja > System pokazuje się napis "Windows Vista™ Home Basic Service Pack 2"

Tu jeszcze nie koniec. W systemie są na pewno re-infektory Brontok. Robak przelatuje po wielu katalogach i dorabia w nich pliki mające nazwę folderu w którym siedzą i ikonkę folderu - te falsyfikaty mają w zamiarze sprowokować omyłkowe kliknięcie (wydaje się, że jest otwierany folder, a to plik) i infekcja startuje od nowa. Takich plików Brontok dorabia ogromną ilość, ale logi są już zbyt ograniczone, by to wykryć. Wymagany pełny skan systemu. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s ListPermissions: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes ListPermissions: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{38C8F117-18A0-4921-8814-69158DBC5A52} RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\_OTL RemoveDirectory: C:\AdwCleaner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom Malwarebytes Anti-Malware - przy instalacji odznacz trial. Wybierz skan pełny a nie szybki. MBAM wykrywa Brontok pod nazwą kodową Trojan.Dropper. .

Prócz robaka Brontok są jeszcze odpadki adware. Akcja: 1. W Notatniku przygotuj skrypt do FRST o treści: CloseProcesses: HKLM\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\bronstab.exe [47697 2010-08-13] () HKLM\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [x ] () HKU\S-1-5-21-2181966677-460633389-2470704602-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Szkola\AppData\Local\smss.exe [47697 2010-08-13] () HKU\S-1-5-21-2181966677-460633389-2470704602-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-2181966677-460633389-2470704602-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-2181966677-460633389-2470704602-1000\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Users\Szkola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () S2 WebCake Desktop Updater; C:\Program Files\WBDesktop.Updater.1.0.0.16.exe [51992 2013-08-29] (cake bake) S2 Updater Service for StartNow Toolbar; C:\Program Files\StartNow Toolbar\ToolbarUpdaterService.exe [X] Task: {0923F066-1448-4230-AC37-301736557386} - System32\Tasks\QtraxPlayer => 2982869494.portal.qtrax.com SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2181966677-460633389-2470704602-1000 -> DefaultScope {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = http://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130410&user_guid=F8119AAAEE254BDB8BCF5A34C9BA0A4D&machine_id=d33ffeb22ac337a48bdb644c92cb162a&browser=IE&os=win&os_version=6.1-x86-SP1&iesrc={referrer:source} SearchScopes: HKU\S-1-5-21-2181966677-460633389-2470704602-1000 -> {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = http://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130410&user_guid=F8119AAAEE254BDB8BCF5A34C9BA0A4D&machine_id=d33ffeb22ac337a48bdb644c92cb162a&browser=IE&os=win&os_version=6.1-x86-SP1&iesrc={referrer:source} C:\Users\Szkola\AppData\Local\*.bin C:\Users\Szkola\AppData\Local\*.exe C:\Users\Szkola\AppData\Local\*.txt C:\Users\Szkola\AppData\Roaming\Systweak C:\Users\Szkola\Downloads\Niepotwierdzony*.crdownload C:\Windows\eksplorasi.exe C:\Windows\ShellNew\bronstab.exe C:\Windows\pss\Empty.pif.Startup C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup CMD: for /d %f in (C:\Users\Szkola\AppData\Local\*bron*) do rd /s /q "%f" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Szkola^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bron-Spizaetus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Przejdź do Trybu awaryjnego, uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przez Panel sterowania odinstaluj śmieci Qtrax Player, WebCake 3.00, od razu też stare wersje Adobe Reader 8 - Polish, Java 7 Update 51. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

adela proszę nie cytuj całego poprzedniego posta, powycinałam cytaty. Zamiast korzystać z opcji "Odpowiedz" przy każdym poście (to funkcja cytatu), korzystaj z pola szybkiej odpowiedzi na spodzie strony i opcji "Napisz". Tak, chodzi o zwyczajny "dokument tekstowy", tylko że ten dokument ma mieć nazwę fixlist.txt, w przeciwnym wypadku nie zadziała opcja Fix w FRST. .

Nazwy logów FRST mi sugerują, że je wyciągasz z folderu C:\FRST\Logs - to archiwum logów, tam się nie grzebie. Bieżący log zawsze jest w tej lokalizacji skąd uruchamiano FRST, czyli w Twoim przypadku C:\Users\User\Desktop\KONSERWACJA. PS. Na liście zainstalowanych są wpisy programów adware (Browser Extensions, Foxy Secure, Search Protection), ale to sprawa podrzędna i nieistotna w obliczu: Wiele rzeczy nie funkcjonuje poprawnie, w systemie jest usterka tego rodzaju: KLIK. Prawie wszystkie usługi i sterowniki są pokazane jako niepodpisane cyfrowo - masowo od góry do dołu [File not signed]. Padł system usług kryptograficznych. Wg FRST w tle działa usługa CryptSvc, toteż problemem jest uszkodzenie którejś z baz - C:\Windows\system32\catroot2 (to resetują te fixy Microsoftu i zawartość można regenerować przez kasacje) i/lub C:\Windows\system32\catroot (folderu nie można opróżnić / skasować, jest nieodtwarzalny). Dziennik zgłasza tylko tyle: Application errors: ================== Error: (11/25/2014 09:38:00 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -583. Od razu zainteresuj się tymi wątkami: Tu jednak jest staroć, czyli Intel Matrix Storage Manager (nowsze wersje występują pod nazwą "Intel Rapid Storage Technology"): ==================== Installed Programs ====================== Intel® Matrix Storage Manager (HKLM\...\{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}) (Version: - Intel Corporation) 1. Zaktualizuj sterowniki Intel. 2. Zresetuj bazę kryptograficznych za pomocą narzędzia Fix It 50202 (zaznacz tryb agresywny): KLIK. Poprzednio stosowałeś Fix it 50123 do czegoś innego. 3. Zrób nowe raporty FRST.

Przejdź w Tryb awaryjny Windows i ponów próbę z FRST i GMER.

+ O ile problem jeszcze aktualny.... Nagraj log za pomocą Process Monitor co się dzieje w tych momentach. Czyli uruchom program, następnie spróbuj uruchomić Windows Defender, a po tym Windows Update doprowadzając do błędów. Zatrzymaj nagrywanie w Process Monitor klikając na ikonkę lupki na pasku narzędzi. Z menu File zapisz plik PML, plik spakuj do ZIP, shostuj gdzieś i podaj do tego link. Nie wygląda na to, że masz włączone wszystkie opcje Widoku. W Opcjach folderów odfajkuj "Ukryj chronione pliki systemu operacyjnego", a powinien się ujawnić NTUSER.DAT. Windows Defender to zintegrowany komponent Vista i nie jest możliwa jego "reinstalacja" z instalatora pobranego z portalu. To co linkują dobreprogramy to Windows Defender dla systemów XP i Windows 2003, pomimo że napisali "Windows XP / Vista / 2003 / 7". Nie, Windows Defender na Vista i wyżej to część systemu operacyjnego, podany instalator nie aplikuje się. To już stosowałeś wcześniej (log C:\Windows\Logs\CBS\Checksur.log był sprawdzany - posty #6 i #8). .

Proszę dostosuj się do zasad działu w kwestii obowiązkowych raportów: KLIK. OTL to przestarzałe narzędzie weryfikowane tylko pobocznie, proszę o dostarczenie logów z FRST i GMER. Wszystko opisane w linku. Na temat używania ComboFix: KLIK.

Nagraj mi log czasu rzeczywistego co się dzieje podczas tej instalacji. Uruchom Process Monitor, a następnie uruchom instalację Silverlight i dojdź do wyplucia błędu, w tym momencie zatrzymaj nagrywanie w Process Monitor klikając na ikonkę lupki na pasku narzędzi. Z menu File zapisz plik PML, plik spakuj do ZIP, shostuj gdzieś i podaj do tego link.

Duplikat w dziale Windows kasuję. Przeklejam stamtąd informację o migracji katalogów. Nie wiem o co chodzi ze SpeedyShare, ale oczywistym jest, że w takim przypadku dobiera się inny hosting... Nie rozumiem też jaki masz problem z Autoruns - program pozwala zapisać do pliku TXT, a domyślny format ARN odpada. Poza tym, log Autoruns nie jest mi tu potrzebny, podobnie jak pozostałe raporty, których nie byłeś w stanie shostować. 1. Pierwsza sprawa, to owa nędza z miejscem na dysku: ==================== Drives ================================ Drive c: () (Fixed) (Total:78.37 GB) (Free:2.42 GB) NTFS Tak mało wolnego może być przyczyną ogólnego spowolnienia. Do diagnostyki miejsca skorzystaj z programu SpaceSniffer (z prawokliku na pobrany plik "Uruchom jako Administrator"). Pokaż zrzut ekranu z ogólnego widoku dysku C. Musi zostać zwolnione więcej miejsca na dysku, a gdy to nie wpłynie wydatnie na zmianę stanu: 2. Druga sprawa to obecność COMODO Internet Security. Proponuję go testowo odinstalować i ocenić czy nadal występują określone objawy. 3. Dodatkowo, na trwałe pozbądź się Norton Online Backup - to pewnie preintegrowany zbędnik. I jeszcze w Autoruns w karcie Scheduled Tasks skasuj zbędne zadania: Facebook, HPCustParticipation HP, Real Player oraz wyłącz aktualizator Samsung Update Plus. O ile tu nie bruździ COMODO, sprawdź czy coś pomoże przestawienie trybu kompatybilności: Start > w polu szukania wklep nazwę programu > prawoklik na skrót > karta Zgodność > zaznacz "Uruchom ten program w trybie zgodności z" > z listy na początek próbuj Windows 7, a jeśli brak takiej pozycji lub brak efektów, to wybierz Windows Vista (Service Pack 2). EDIT W Twoim spisie zainstalowanych programów nie widać żadnej nie ukrytej polskiej pozycji związanej z galerią. Jedyny widoczny wpis to z chińskimi krzakami i dużo ukrytych wpisów różnojęzycznych: ==================== Installed Programs ====================== „Windows Live Essentials“ (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden „Windows Live Mail“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden „Windows Live Messenger“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden „Windows Live“ fotogalerija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Fotogalerija Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galeria de Fotografias do Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galería fotográfica de Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galeria fotografii usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galerie de photos Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galerie foto Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Mesh Runtime (x32 Version: 15.4.5722.2 - Microsoft Corporation) Hidden Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pošta Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Raccolta foto di Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live 程式集 (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3508.1109 - Microsoft Corporation) Συλλογή φωτογραφιών του Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Основные компоненты Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Почта Windows Live (x32 Version: 15.4.3502.0922 - Корпорация Майкрософт) Hidden Фотоальбом Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Фотогалерия на Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden גלריית התמונות של Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden بريد Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden معرض صور Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Proponuję przeczyścić sprawę: - Pozycję Windows Live 程式集 odinstaluj via Panel sterowania, a resztę potraktuj tym narzędziem Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > na liście po kolei zaznaczaj wymienione wpisy > Dalej. - Zainstaluj program ponownie: KLIK. .

Problemu nie tworzy infekcja. Zanim temat przeniosę do innego działu: To co wykrył Avast to były obiekty adware, nabyte na jeden z tych sposobów: KLIK. Uruchomiłeś jakiś "downloader". Obecnie w systemie są tylko szczątki adware, które jednak nie mają w ogóle związku z głównym problemem. Centrum zabezpieczeń nie wykrywa poprawnie instalacji antywirusowych, gdyż jest tu inny problem - są znaki uszkodzenia WMI systemowego: ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. ==================== Faulty Device Manager Devices ============= Could not list Devices. Check "winmgmt" service or repair WMI. ==================== Event log errors: ========================= Application errors: ================== Error: (11/20/2014 10:09:19 AM) (Source: SecurityCenter) (EventID: 3) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić zapytań dotyczących zdarzeń z usługi WMI, aby monitorować program antywirusowy, program antyszpiegowski i zaporę innej firmy. Error: (11/20/2014 02:02:21 AM) (Source: Microsoft-Windows-WMI) (EventID: 28) (User: ZARZĄDZANIE NT) Description: Nie można zainicjować podstawowego składnika WMI, podsystemu dostawców lub podsystemu zdarzeń. Numer błędu: 0x80041002. Może to być spowodowane niepoprawną instalacją wersji usługi WMI, błędem uaktualniania repozytorium WMI albo niewystarczającą ilością pamięci lub miejsca na dysku. Error: (11/19/2014 00:53:15 PM) (Source: System Restore) (EventID: 8211) (User: ) Description: Nie można utworzyć zaplanowanego punktu przywracania. Informacje dodatkowe: (0x800423f3). Error: (11/19/2014 00:53:15 PM) (Source: System Restore) (EventID: 8193) (User: ) Description: Nie można utworzyć punktu przywracania (Proces = C:\WINDOWS\system32\srtasks.exe ExecuteScheduledSPPCreation; Opis = Zaplanowany punkt kontrolny; Błąd = 0x800423f3). Spoza powyższego tematu, dodatkowo sterownik związany z Alcohol / DAEMON Tools jest martwy: System errors: ============= Error: (11/20/2014 02:01:29 AM) (Source: sptd) (EventID: 4) (User: ) Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Na razie szybkie doczyszczenie śmieci, usunięcie wadliwego sterownika SPTD oraz weryfikacja repozytorium WMI. Otwórz Notatnik i wklej w nim: CMD: winmgmt /salvagerepository S0 sptd; C:\Windows\System32\Drivers\sptd.sys [867064 2014-10-03] (Duplex Secure Ltd.) HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413621208&from=cor&uid=ST1000LM024XHN-M101MBB_S2WZJA0D411731411731&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413621208&from=cor&uid=ST1000LM024XHN-M101MBB_S2WZJA0D411731411731&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413621208&from=cor&uid=ST1000LM024XHN-M101MBB_S2WZJA0D411731411731&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413621208&from=cor&uid=ST1000LM024XHN-M101MBB_S2WZJA0D411731411731&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1413621208&from=cor&uid=ST1000LM024XHN-M101MBB_S2WZJA0D411731411731 FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK FF user.js: detected! => C:\Users\Oogamasennin\AppData\Roaming\Mozilla\Firefox\Profiles\ft4almei.default-1409728214410\user.js C:\Program Files (x86)\mozilla firefox\plugins S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] C:\Program Files (x86)\SupTab C:\ProgramData\IePluginServices C:\Users\Oogamasennin\Desktop\*(*)-dp*.exe C:\Windows\System32\Drivers\sptd.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

W CBS rzeczywiście cisza. W takim razie wrócę jednak do wcześniejszych rekordów: "A release version of SP1 must be installed or scheduled for installation hr=0x800f0a05". Spróbuj zainstalować SP1 inną metodą: 1. Pobierz pełny instalator SP1 na dysk: KLIK. 2. Utwórz foldery C:\Temp1, C:\Temp2, C:\Temp3, C:\Temp4. W folderze C:\Temp1 umieść pobrany instalator Windows6.0-KB936330-X86-wave1.exe. 3. Otwórz Notatnik i wklej w nim: C:\Temp1\Windows6.0-KB936330-X86-wave1.exe /x:C:\Temp1 start /w pkgmgr.exe /m:c:\Temp1\windows6.0-kb937287-X86.cab /ip /s:C:\Temp2 start /w pkgmgr.exe /m:c:\Temp1\windows6.0-kb938371-X86.cab /ip /s:C:\Temp3 start /w pkgmgr.exe /m:c:\Temp1\windows6.0-KB936330-X86.cab /ip /s:C:\Temp4 pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. BAT odpala sekwencję: ekstrakcja instalatora SP1, nałożenie dwóch łat wymaganych przed instalacją SP1, instalacja zasadnicza SP1. 4. Jeśli instalacja SP1 się rozpocznie i zakończy zgodnie z planem, ponawiasz szukanie łat na Windows Update. Powinien zostać podstawiony SP2 do instalacji. .

adela, mdlejesz tutaj przy uruchamianiu FRST, a w obrotach był znacznie bardziej inwazyjny i trudny obsługowo program, tzn. ComboFix. Na przyszłość dlaczego ComboFix nie używa się w domu: KLIK. To nie jest program dla laików, a jeśli uruchamia go laik, musi być to skontrolowane i przeanalizowane przez kogoś, kto jest ekspertem. Tu jest mało pamięci, około 1GB RAM, ponad 90% pamięci zajęte: ==================== Memory info =========================== Processor: Intel® Celeron® CPU 530 @ 1.73GHz Percentage of memory in use: 92% Total physical RAM: 1013.27 MB Available physical RAM: 71.61 MB Total Pagefile: 2284.87 MB Available Pagefile: 558.23 MB Total Virtual: 2047.88 MB Available Virtual: 1920.78 MB Skoro Tryb awaryjny nie wykazuje problemów, zacznij od deinstalacji określonych programów, by stwierdzić czy będzie poprawa. Dodatkowa uwaga: były tu jakieś próby wyłączania "zbędnych" wpisów startowych i został wyłączony via msconfig Menedżer kont zabezpieczeń (SamSs). Skutki uboczne: sypie błędami w Dzienniku zdarzeń. Będę odkręcać tę wadę. Wstępne działania: 1. Przez Panel sterowania odinstaluj Microsoft Security Essentials (antywirus może stanowić problem), niektóre zbędne programy Acer (te aktywnie ładowane w procesach) oraz stare wersje. Tu spis co można wyrzucić: Acer Arcade (Version: 4.58N.4313 - CyberLink Corporation) ----> centrum multimedialne Acer eDataSecurity Management (Version: 2.5.4241 - HiTRUST Inc.) ----> soft do szyfrowania danych, do wyrzucenia, jeśli nic nie szyfrowano za jego pomocą Acer eLock Management (Version: 2.5.4005 - Acer Inc.) ----> ogranicza dostęp do zewnętrznych nośników magazynowania Adobe Flash Player 14 ActiveX (Version: 14.0.0.145 - Adobe Systems Incorporated) Adobe Flash Player 14 Plugin (Version: 14.0.0.145 - Adobe Systems Incorporated) Adobe Reader 8.1.0 (Version: 8.1.0 - Adobe Systems Incorporated) Java 7 Update 67 (Version: 7.0.670 - Oracle) Microsoft Security Essentials (HKLM\...\Microsoft Security Client) (Version: 4.6.305.0 - Microsoft Corporation) Instalacje Adobe Flash nie są Ci w ogóle potrzebne, bo używasz Google Chrome, które ma zainstalowany własny wewnętrzny. I na razie nic nie instaluj nowego, by było wiadome czy zaistniają zmiany. 2. Następnie wprowadź inne korekty. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-929553786-925988434-3115227362-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-929553786-925988434-3115227362-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1407597502&from=cor&uid=WDCXWD1200BEVS-22UST0_WD-WXC90709687796877 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1407597502&from=cor&uid=WDCXWD1200BEVS-22UST0_WD-WXC90709687796877 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-929553786-925988434-3115227362-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407597502&from=cor&uid=WDCXWD1200BEVS-22UST0_WD-WXC90709687796877&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407597502&from=cor&uid=WDCXWD1200BEVS-22UST0_WD-WXC90709687796877&q={searchTerms} SearchScopes: HKU\S-1-5-21-929553786-925988434-3115227362-1002 -> {16E872E1-50B1-4BF9-99CA-0A10714FA03E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=6F247EE3-0276-4345-8493-43D91FE34D31&apn_sauid=4CDE46A3-3158-468A-96A1-93E6D68DDEE8 Toolbar: HKU\S-1-5-21-929553786-925988434-3115227362-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation) S3 catchme; \??\C:\Users\Serge_2\AppData\Local\Temp\catchme.sys [X] S1 DritekPortIO; \??\C:\PROGRA~1\LAUNCH~1\DPortIO.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S1 MpKslf0671de6; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DF7B2038-272D-4756-A7D9-44EA1A45F0D3}\MpKslf0671de6.sys [X] Task: {4B3D42DB-F52C-4F96-BEAF-3B3A5230E74C} - System32\Tasks\{522D50C1-0E30-4865-BB1A-CDA65CEC6818} => Iexplore.exe http://ui.skype.com/ui/0/5.9.0.123/pl/abandoninstall?page=tsProgressBar Task: {8D8C4713-C35C-4EC2-AD06-809615B8A76C} - System32\Tasks\{008AA0E2-0804-46C0-A681-8FAB434B07F0} => Iexplore.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar C:\ProgramData\APN C:\ProgramData\Spybot - Search & Destroy C:\Program Files\Spybot - Search & Destroy 2 C:\Users\Serge_2\AppData\Roaming\Mozilla C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: sc config LightScribeService start= demand CMD: sc config SamSs start= auto Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MpsSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SamSs" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Acer Tour Reminder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSC" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PCMService' /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spybot-S&D Cleaning" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WarReg_PopUp" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w katalogu Pobrane tam gdzie jest FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W katalogu Pobrane powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan na następującym ustawieniu: odznacz pole Services. Dołącz też plik fixlog.txt oraz plik C:\ComboFix.txt. Wypowiedz się czy są pozytywne zmiany. .

Przepraszam gajowy, że to tak długo trwało, ale miałam limitowany czas i tylko instalację Vista x64, a SteadyState na tym nawet się nie zainstaluje. Musiałam skołować instalację 32-bit, zamontować wszystko i przeanalizować instalację SteadyState. Rozpracowałam bestię. SteadyState wprowadza nowego dostawcę i filtr poświadczeń: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{4C871ECB-8F3E-44b8-89F4-91AD74590F67}] @="WSS CP Filter" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{E45D4335-8E88-42de-BA59-653840B6CB08}] @="WSS Credential Provider" Po skasowaniu tych dwóch kluczy od ręki znika "Other user" / "Inny użytkownik" z ekranu logowania i to nawet bez kłopotania się z usunięciem dalszych powiązań i przy w pełni działającym SteadyState. Czyli: 1. Zaimportuj taki oto REG: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4C871ECB-8F3E-44b8-89F4-91AD74590F67}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E45D4335-8E88-42de-BA59-653840B6CB08}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{4C871ECB-8F3E-44b8-89F4-91AD74590F67}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{E45D4335-8E88-42de-BA59-653840B6CB08}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] "C:\\Windows\\system32\\WSSCredentialProvider.dll"=- "C:\\Windows\\system32\\WSSCPFilter.dll"=- 2. Skasuj z dysku poniższe pliki. Pliki te nie reagują na polecenie derejestracji regsvr32 /u. C:\Windows\system32\WSSCredentialProvider.dll C:\Windows\system32\WSSCPFilter.dll Aczkolwiek: Zrozumiałam, że była to uszkodzona instalacja, a nie że deinstalatora nie zauważyłeś... Zakreślony fragment: nie wiem co usuwałeś z rejestru, a nasz "Other user" sugeruje, że mogło zostać więcej niż się zdaje. W związku z tym jedno z dwóch: - Brniemy dalej w ręczne czyszczenie. Mam konkretny materiał porównawczy i spisałam już modyfikacje zrobione przez program, więc mógłbyś mi przesłać na PW do analizy folder C:\FRST\Hives. - Instalujesz > deinstalujesz program, co powinno lepiej odkręcić modyfikacje programu, niż zrobiłeś to ręcznie na początku. Nawiasem mówiąc: Owszem, zmiana statusu tej opcji w SteadyState powoduje znikanie / pojawianie się pozycji "Other user".

Może to się łączy z odpaleniem jakiegoś szczególnego programu? Tu znalazłam bardzo podobny efekt, tylko Ty nie posiadasz Bitcasy: KLIK. W tym przypadku aktywność procesów nieistotna, chodziło o pobranie spisu zakolejkowanych zadań BITS. Nic tam podejrzanego nie ma, ale kolejka związana z pobieraniem Windows Update jest spora. Czas utworzenia tych zadań jest daleki - sierpień 2014. Postaraj się dokończyć wszystkie odłożone w czasie instalacje aktulizacji, a jeśli niby wszystko jest zainstalowane, to możesz oczyścić kolejkę BITS egzekwując komendę czyszczenia Temp w FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt. Sprawdź w linii poleceń Windows PowerShell czy kolejka jest pusta. Wątek na holenderskim forum jest na inny temat, nie chodziło mi o wykonywanie żadnych instrukcji. Z owego wątku tylko do wglądu była informacja z jakimi hostami jest związany ten adres IP 68.232.34.200 (zakreśliłam ją w spoilerze dla jasności). .

Skoro to system "z Chomika", mam silne wątpliwości. Podaj: 1. Dokładną nazwę ISO obrazu, z którego instalowałeś. Najlepiej by został tu przeklejony pełny opis tego dziwa, tylko bez linka (piractwo). 2. Ogólnikową identyfikację platformy (to tylko powierzchowny sprawdzian). Start > w polu szukania wklep regedit > z prawokliku wyeksportuj klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion Otwórz plik REG w Notatniku i przeklej do posta treść. 3. Orientacyjne dane ile jest naruszeń. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Następnie skopiuj na Pulpit cały folder C:\Windows\Logs\CBS, zapakuj do ZIP, rzuć na jakiś hosting i podaj tu link do paczki. Zakładając, że płyta jest nieprzerabiana, ale nie mając żadnych danych co wycinałeś i przy udziale jakiego programu, nie jestem w stanie nawet stwierdzić co zrobiłeś. Czy próbowałeś "odchudzać" folder C:\Windows\winsxs? Czy posługiwałeś się może Sunrise Seven (zdradziecka opcja czyszczenia FileRepository)? Niezależnie od tego co zostało usunięte i tak jest potrzebna czysta niemodyfikowana płyta i reinstalacja systemu. Oczywiście nie można użyć płyty, która zainstalowała defekt, bo uzyskany zostanie stan wyjściowy, więc musi być pewne, że posiadasz nieprzerabiany. Zostały z tego Windows usunięte jakieś kluczowe komponenty, komponenty te nie zostaną "doinstalowane" z niczego, bo nie ma skąd brać. Zauważ, że pełny pakiet SP1 pobrany wprost z Centrum i w teorii mający obejść określone naruszenia komponentów, nie podołał i staje okoniem, czyli naruszenia są znacznie większe niż radośnie przewiduje to artykuł Microsoftu. Takie tematy jak Twój już były na forum i wszystkie miały identyczny finał, tzn. reinstalacja systemu. Windows 7 to nie prymityw XP, układ komponentów jest bardzo rozbudowany, uzupełnianie wyciętych składników to nie jest kwestia "podstaw plik". .

AdwCleaner to nie ta liga, to tylko program do obiektów adware/PUP a nie do usuwania infekcji z jaką mamy tu do czynienia. Infekcja definitywnie tu była, bo na dysku jest powiązany z nią folder FijkOrnex (+ wyłączony w msconfig wpis startowy) oraz nieszczęsne polityki blokujące Avast. Przypuszczalna przyczyna to exploit starej wersji Java. Stare wersje już jak widzę odinstalowałeś: ==================== Restore Points ========================= 24-11-2014 21:15:08 Removed Adobe Reader X (10.1.9) - Polish. 24-11-2014 21:16:26 Removed Java 7 Update 25 24-11-2014 21:17:23 Removed Java™ 6 Update 27 (został jeszcze OpenOffice.org do aktualizcji, bo stara wersja nie umie korzysta z najnowszej Java) Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Malwarebytes HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\McAfee HKLM Group Policy restriction on software: C:\Program Files\Malwarebytes' Anti-Malware HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVAST Software CHR HKU\S-1-5-21-602162358-842925246-839522115-1003\SOFTWARE\Policies\Google: Policy restriction BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File CustomCLSID: HKU\S-1-5-21-602162358-842925246-839522115-1003_Classes\CLSID\{46CDD27D-E6F5-2EC0-6628-A966F43607EB}\InprocServer32 -> No File Path FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\npDeployJava1.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-21-602162358-842925246-839522115-1003\...\MountPoints2: {772d2224-1d41-11e2-bb1a-00142a9bd198} - F:\iLinker.exe U3 DfSdkS; No ImagePath C:\Documents and Settings\All Users\Application Data\FijkOrnex C:\Documents and Settings\All Users\Application Data\Adobe C:\Documents and Settings\Marysia\Application Data\Opera C:\Documents and Settings\Marysia\Application Data\Oracle C:\Documents and Settings\Marysia\Local Settings\Application Data\Google\Chrome C:\Program Files\Common Files\Adobe C:\Program Files\Java C:\Program Files\Mozilla Firefox\extensions C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup C:\WINDOWS\pss\OpenOffice.org 3.3.lnkStartup Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Marysia^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FijkOrnex" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ThreatFire" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, Avast zaś odblokuje się. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt .

Problem opisany w artykule Microsoftu: KB2498452. Konkretnie odpowiada temu przyczyna "Na komputerze brakuje plików systemowych wymaganych do zainstalowania dodatku SP1 dla systemu Windows 7" + "Metoda 5". Ten komunikat jest m.in. powodowany przez instalacje Windows 7 zrobione ręcznie, które modyfikowano jakimiś programami tego typu: KLIK. Podstawowe pytanie: jakie jest pochodzenie Twojego Windows, tzn. nośnik oryginalny i legalny, czy przeróbki pobrane pokątnie z torrent lub podobnych nielegalnych źródeł. Pytanie służy zdefiniowaniu o jakim Windows mowa, bo tu niestety klaruje się reinstalacja Windows przy udziale pełnej niemodyfikowanej płyty (z powietrza nie dorobisz wyciętych składników).

adela, proszę nie histeryzuj tylko skup się, bo szczerze wątpię czy nawet link otworzyłaś, który podałam. Proszę kliknij w niebieski link w moim poście (ów napis "FRST"), co otwiera instrukcję z obrazkami. Już prościej się nie da opisać tego - są obrazki, opisy krok po kroczku co to za program, skąd pobrać, jak skonfigurować, co on tworzy. Wynikowe logi tekstowe (FRST.txt, Addition.txt i Shortcut.txt) należy dołączyć do posta (na spodzie strony pole szybkiej odpowiedzi > Więcej opcji > jest funkcja doczepiania plików).